Потому, что это легче, меньше ответственности и люди чувствуют себя крутыми пацанами :)

А я вот в моральных терзаниях.. с одной стороны, чтобы построить систему защиты достаточно только знать об уязвимостях и как они могут быть эксплуатированы, с другой когда я работал на разработчика оборудования для энергетики и говорил, что аутентификация на терминале без криптографии небезопасна, можно перехватить трафик и извлечь оттуда учётные данные.. и мне тогда сказали - а ты сделай, тогда поверим... И я понял, что чтобы ткнуть носом чванливых всезнаек надо или целую команду, или самому уметь какие-то вещи..

Это норма. Находишь xss, а тебе - ну и что? У нас это работать не будет. 👽

Почему-то именно среди разработчиков овердофига упрямых и ограниченных людей, которые на тебя смотрят как на говно просто потому что пишут код, а ты нет.. и пока их не ткнёшь носом, игнорируют.. а если ткнёшь, то ты станешь врагом навсегда, начинаются истерики - вон у вас люди взламывают, у них и спрашивайте.. и т.д.

Ага. Божья роса..

Потому что они привыкли в своем пространстве ( не выходить из зоны комфорта) и когда ты показываешь что нужно что то менять на тебя обижаются ) это не тока на уровне разработки это везде так и с теми кто проекты делает на рантайм, конфигурирует, обслуживает. В общем так привычней "работает не лезь"

Надо признать, что в промышленности этого в разы больше, чем в офисном ИТ или обычной разработке :)

Именно поэтому сейчас я "независимый эксперт".. просто морально не готов опять идти доказывать что-то, воевать.. ))

этого везде полно ) в том числе яркий пример, админ АД, попробуй ему объяснить что для АСУ нужна свою группа и свои настройки по политикам, ограничения, запуск служб свой и т.д. Так он тебя пошлет и скажет давай политики я сделаю или вообще по смеется )
а на слова нужен отдельный лес для АСУ меня вообще закидали какахами ))

В одной большой конторе (М**СК), в одном филиале всё так, во втором наоборот обрадовались, типа - засунем вашу дичь в отдельную стойку и будет нам счастье :) Одна организация, но два филиала.

А зачем в асу ад?

Ровно для того же, для чего AD вообще существует

Я знаю для чего существует Ад, и это мне не помогает понять, зачем Ад в асутп.

Т.е. вы не видите "оправданных" вариантов применения AD в АСУ ТП?

Примерно так. Вообще электронный каталог какой-то... Может быть, не знаю. Но уж если вляпались в винду, то Ад - усугублять Иб-ситуацию.

Вот КасперскийОС. Если на ней строить несетевую составляющую, подразумевает еДиректори свой какой-то, кстати?

что вы имеете в виду под несетевой составляющей?

в смысле ПЛК и подобные устройства?

Хосты конечные

Сервера